記者/黃巧筑
科技可以降低企業的成本支出並且改善整體溝通系統的建置,因此許多企業陸續撤換傳統固網並採用新的網路電話(Voice over Internet Protocol, VoIP)機制,但安全上的脆弱與威脅卻也隨之而來,對網路電話安全性的關切近幾個月不斷浮上檯面,輕則遭受垃圾網路電話中斷通話的騷擾,重則通話時數遭竊或通話內容竊聽等,近期在美國公佈的一項新的相關研究亦透露出這方面的威脅有多大。
根據美國商業周刊(BusinessWeek)報導,網路電話系統對駭客以及數位損害的敏感性不下於其他任何以網路為基礎的應用程式,駭客入侵這樣的系統簡直輕而易舉。如果真要很仔細地在諸如Google這樣的搜尋引擎作搜尋,一些註冊者的資訊都能被找到,部份網路電話公司由於擁有他們自己的網路伺服器軟體,消息靈通的駭客早就知道該怎麼利用簡單的網路搜尋模式去找到這些未受保護的私人通話,他們甚至能夠從中獲取更多有用的資訊,像是密碼或者IP位址(Internet Protocol addresses)用以侵入系統的其他部分。
美國3Com公司子公司TippingPoint電腦安全研究員大衛‧安德勒(David Endler)表示,端看網路電話,不論是利用Wi-Fi或是一般網路連線,事實上和其他任何網路應用軟體沒有太大的差異存在,人們陸續在採用並投入這個服務,但使用網路電話的生命週期裡,現在還處於非常前期的階段,未來這一年,所有目前尚未清晰浮現的安全性威脅都會陸續發生。
模仿垃圾郵件的形式,越來越多的垃圾網路電話(稱為Spam for Internet Telephony, SPIT或者SPAM Call)開始干擾網路通話品質,有時只是純粹惡作劇的騷擾,但多數性質就如同垃圾郵件向使用者進行產品推銷與詐騙等。
另一種攻擊的形式就顯得大事不妙,譬如使用者每次在開啟網路電話的時候都必須在線上進行註冊登入的行動,如此才得以進行通話,其所開啟的通訊協議為求實用性考量,大多沒有加密,這段期間裡使用者都是處在一個不安全的狀態,隨時會有駭客上門竊取使用者資訊以便於竊聽(Sniffing)或者將通話截聽(Eavesdropping)並移轉到另一個不明位址。
針對網路電話服務供應商較為直接的傷害便是其所販賣的通話時數遭受不肖人士竊取,六月時,美國聯邦調查局(FBI)逮捕一名邁阿密男子,這個人攻擊一家網路電話服務供應商的網站並銷售那些被他盜走並價值高達五十萬分鐘的通話時數給不知情的消費者。甚至有一位年僅23歲的人販賣持續竊取的通話時數賺取的錢,能供其購買房地產、多部汽車和一台40呎的遊艇,安德勒說,如果這樣能賺得到錢,表示類似的網路攻擊行為會持續發生。
當然安全性漏洞並非指向哪間特定公司或哪種產品,反而是服務商以及整體相關產業本身都遭到攻擊,因此資訊安全服務公司已開始著手研發相關產品來進行安全性的維護並且進一步發掘更多原先未預期到的漏洞。